WM-Wurm

Sober.P täuscht Benachrichtigung über WM-Tickets vor

Trickreiche Sober-Variante wird von Experten als gefährlich eingestuft
Von Marie-Anne Winter

Kaum ist die letzte Sober-Welle abgeebbt, da rauscht schon die nächste durchs Internet: Antivirenspezialisten wie H+BEDV und F-Secure warnen alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 vor der neuen Variante des Internet-Wurms Sober.P. Das Schadens- und Verbreitungspotential dieser Sober-Variante wird von den Virenexperten als "sehr große Gefahr" eingeschätzt. Sober.P wurde bereits im Vorfeld durch eine generische Signatur als Sober.gen von AntiVir erkannt. Die erste virulente Sober-E-Mail wurde von H+BEDV um 18:02 Uhr entdeckt.

Um die User zu täuschen und zum Öffnen des Attachments zu verleiten, verwenden die Virenautoren einen besonders raffinierten Trick: Sober.P will die Anwender glauben machen, eine Nachricht über die Verlosung der WM-Tickets zu erhalten. Betreffzeilen sind zum Beispiel "FwD: Glueckwunsch: Ihr WM Ticket", "FwD: WM Ticket Verlosung" oder "FwD: WM-Ticket-Auslosung". Der Wurm-Code ist als ZIP-Archiv, das eine ausführbare Datei enthält, an die E-Mail angehängt. Öffnet der User den Anhang, installiert sich der Wurm und infiziert den Rechner. Wie seine Vorgänger ist auch diese Sober-Variante zweisprachig und verfasst je nach Länderkennung der E-Mail-Adresse entweder deutsche oder englische Nachrichten.

Nachrichten, die Sober.P verschickt, haben im Betreff folgende Bezeichnungen

  • Re: Your Password
  • Re: Registration Confirmation
  • Re: Your email was blocked
  • Re: mailing error
  • FwD: Ihr Passwort
  • FwD: Ihre E-Mail wurde verweigert
  • FwD: Ich bin's, was zum lachen ;)
  • FwD: Glueckwunsch: Ihr WM Ticket
  • FwD: WM Ticket Verlosung
  • FwD: WM-Ticket-Auslosung
Sober.P hat eine Größe von 53 554 Bytes. Er besitzt, wie auch seine Vorgänger, eine eigene SMTP-Engine. Als SMTP-Engine bezeichnen Antivirenhersteller ein Programm, das selbständig E-Mails verschicken kann.

Wird Sober.P ausgeführt, öffnet dieser ein Fenster und zeigt den Text: "Error: CRC not complete" an. Der Computervirus fügt der Windows Registry bestimmte Einträge hinzu, damit dieser beim nächsten Systemstart automatisch gestartet wird.

Der Wurm ist in der Lage sowohl deutsch- als auch englischsprachige E-Mails zu versenden. Dies macht er abhängig vom Domainnamen. Eine von Sober.P versandte E-Mail hat zum Beispiel folgendes Aussehen:

Absender (FROM): %spoofed%
Betreff (SUBJECT): FwD: Ihr Passwort
Emailtext (BODY): Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
Anhang (ATTACHMENT): free_PassWort-Info.zip
Wird der Anhang der E-Mail (ZIP Archiv) entpackt, wird die Datei "Winzipped-Text_Data.txt.exe" oder "Winzipped-Text_Data.txt.tif" erstellt. E-Mails mit entsprechender Betreffzeile, sollten keinesfalls geöffnet, sondern sofort gelöscht werden.

Aktuelle Virenschutzsoftware sowie eine ausführliche Virenbeschreibung stehen beispielsweise unter www.antivir.de zum Download bereit. Privatanwender können sich mit der aktuellen Version der kostenfreien "AntiVir Personal Edition" gegen den ungebetenen Besucher über www.free-av.de schützen. F-Secure hat in seiner Virendefinitions-Datenbank ebenfalls ein Update zum Schutz vor Sober.P hinzugefügt. Eine genaue Beschreibung des Wurms findet sich ebenfalls bei F-Secure. Ausführliche Sicherheits-Tipps finden Sie auch in unserem Ratgeber.